Аттестация ЛВОСС

Аттестация ЛВОСС

АТТЕСТАЦИЯ ЛОКАЛЬНЫХ ВОЛОКОННО-ОПТИЧЕСКИХ ЛИНИЙ СВЯЗИ СТРУКТУРИРОВАННЫХ КАБЕЛЬНЫХ СИСТЕМ ПО ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ

Что такое аттестация?

В соответствии с нормативно-правовыми актами в области защиты информации (положение по аттестации и ГОСТ РО 0043-003-2012) под аттестацией понимается: «комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации…»

Что такое специальные исследования (СИ)?

Это комплекс инженерно-технических мероприятий в области защиты информации с использованием контрольно-измерительной аппаратуры для оценки утечки информации по техническим каналам в технических средствах (компьютер, коммутатор, принтер, телефон и др.) и линиях связи, имеющих выход за пределы контролируемой зоны.

Существуют следующие виды СИ:

  1. СИ ТС лабораторные, тоесть проводятся в лаборатории в специально оборудованном помещении, по результатам выдается протокол СИ и предписание на эксплуатацию на каждое ТС (или партию ТС с аналогичными характеристиками).
  2. СИ ТС объектовые, тоесть на территории Заказчика в реальных условиях эксплуатации.
  3. СИ локальной вычислительной сети (ЛВС) на базе волоконно-оптических линий связи структурированных кабельных систем (далее — ЛВОСС) лабораторные и объектовые, тоесть проводятся СИ комплектующих (оптические кабели, патч-корды, кроссы, муфты, розетки, адаптеры, переходники и др.) ЛВОСС с целью оценки утечки информации в оптическом диапазоне длин волн. Данный тип СИ необходимо проводить до начала монтажа комплектующих ЛВОСС на объекте, т.к. необходимо сначала убедится, что выбранные комплектующие удовлетворяют требованиям по безопасности и только потом их монтировать на объекте. По завершению монтажа комплектующих ЛВОСС проводится контрольная проверка выполнения требований монтажа и отсутствия нарушений, выполнение требований по защите информации и отсутствия утечки информации в оптическом диапазоне длин волн (Аттестация ЛВОСС).

Кому нужна аттестация ЛВОСС?

Аттестация ЛВОСС в обязательном порядке требуется при объединении нескольких автоматизированных рабочих мест (компьютеры) в единую локальную вычислительную сеть (ЛВС) на базе волоконно-оптических линий связи.

Что включает в себя аттестация ЛВОСС?

Аттестация ЛВОСС включает в себя комплексные аттестационные испытания ЛВОСС в реальных условиях эксплуатации, по результатам которых оформляются отчетные документы:

  • отчет по обследованию ЛВОСС;
  • программа и методики аттестационных испытаний;
  • заключение по результатам аттестационных испытаний;
  • протокол аттестационных испытаний;
  • аттестат соответствия.

Примечание: аттестация — это только процедура оценки соответствия (защищенности), которая не включает в себя подготовку к аттестации.

Что нужно сделать перед началом аттестации ЛВОСС?

Перед началом аттестации ЛВОСС необходимо провести СИ комплектующих ЛВОСС на предмет утечки информации в оптическом диапазоне длин волн.

По каким требованиям проводится подготовка к аттестации и аттестация ЛВОСС?

Подготовка к аттестации и аттестация АС проводится в соответствии с действующими нормативными документами:

  • «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» (Утвержден приказом ФСТЭК России от 15 марта 2012 г. N 27);
  • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К, утвержден Государственной технической комиссией при Президенте Российской Федерации, № 7.2/02.03.2001 г. от 2001 г.);
  • «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», (утвержден Государственной технической комиссией при Президенте Российской Федерации, от 2002 г.)»;
  • «Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (РД АС, утвержден Государственной технической комиссией при Президенте Российской Федерации, от 1992 г.);
  • «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (утвержден приказом Федеральной службы по техническому и экспортному контролю от 29.04.2021 №77).

В каком объеме проводится подготовка к аттестации ЛВОСС?

Объем работ следующий:

  • обследование ЛВОСС;
  • разработка рекомендаций по уточнению спецификации компонентов (комплектующих) ЛВОСС с учетом требований по безопасности информации в оптическом диапазоне длин волн;
  • разработка рекомендаций по прокладке ЛВОСС с учетом требований по безопасности информации в оптическом диапазоне длин волн;
  • разработка рекомендаций по доработке ЛВОСС по требованиям безопасности информации в оптическом диапазоне длин волн;
  • экспертиза проектных решений на соответствие требованиям по безопасности информации ЛВОСС в оптическом диапазоне длин волн;
  • разработка материалов в проектные решения по защите ЛВОСС по требованиям безопасности информации в оптическом диапазоне длин волн;
  • подбор и поставка защищенных комплектующих ЛВОСС, удовлетворяющих требованиям по безопасности информации;
  • поставка сертифицированных средств защиты информации от утечки по акустооптическому каналу;
  • проведение рефлектометрии ЛВОСС с выдачей паспорта кабельных трасс;
  • анализ состава компонентов технических средств, подлежащих к проведению лабораторной специальной проверки и специальных исследований технических средств ЛВОСС;
  • разработка технического задания для проведения лабораторной специальной проверки и специальных исследований технических средств ЛВОСС;
  • определение угроз безопасности информации и формирование модели вероятного нарушителя;
  • разработка инструкции для администратора безопасности информации по работе с ЛВОСС.

Сколько стоит подготовка и аттестация ЛВОСС?

Стоимость зависит от множества критериев:

  • количество компьютеров и серверов, сетевого активного и пассивного телекоммуникационного оборудования;
  • территориальное (географическое) расположение ЛВОСС
  • ранее проводилась ли подготовка и аттестация ЛВОСС.

Кто может проводить аттестацию ЛВОСС?

Аттестацию ЛВОСС может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
    • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
    • г1 — средств и систем информатизации.

Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Кто может проводить подготовку к аттестации ЛВОСС?

Подготовку к аттестации ЛВОСС (проектирование и внедрение системы защиты) имеет право проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:

  • а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
    • а1 — в средствах и системах информатизации;
  • а2 — в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
  • б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д) работы и услуги по проектированию в защищенном исполнении:
    • д1 — средств и систем информатизации;
    • д2 — помещений со средствами (системами) информатизации, подлежащими защите;
    • д3 — защищаемых помещений;
  • е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации:
    • е1 — технических средств защиты информации;
    • е2 — защищенных технических средств обработки информации;
    • е3 — технических средств контроля эффективности мер защиты информации;
    • е4 — программных (программно-технических) средств защиты информации;
    • е5 — защищенных программных (программно-технических) средств обработки информации;
    • е6 — программных (программно-технических) средств контроля эффективности защиты информации.

Кто выдает и как выглядит аттестат соответствия ЛВОСС?

Оформляет, утверждает, выдает аттестат соответствия ЛВОСС лицензиат ФСТЭК России, проводивший работы по аттестации, а также отправляет аттестат соответствия в ФСТЭК России для внесения сведений об аттестате соответствия в реестр аттестованных объектов информатизации ФСТЭК России.
Форма аттестата соответствия на установлена нормативными документами СТР-К и Приказом №77 от 29.04.2021 г.
Пример аттестата соответствия, утвержденный лицензиатом ФСТЭК России ООО «ЦБИТ»:

Что дальше после получения аттестата соответствия?

Собственник объекта информатизации должен поддерживать уровень защищённости конфиденциальной информации на всем протяжении времени эксплуатации, и через каждые 2 года обязан подтверждать факт защищённости конфиденциальной информации в (периодический контроль), и отправлять протоколы периодического контроля в ФСТЭК России для продления действия аттестата соответствия. В случае, если протоколы периодического контроля не предоставляются через каждые два года в ФСТЭК России, тогда ФСТЭК России приостанавливает действие аттестата соответствия.

Делать периодический контроль собственными силами могут не все собственники, т.к. необходима лицензия на техническую защиту конфиденциальной информации, и поэтому привлекают на договорной основе организацию-лицензиата ФСТЭК России, которая имеет право проводить периодический контроль и отправлять протоколы в ФСТЭК России.

В ФСТЭК ведётся реестр аттестованных объектов информатизации, в котором отражается статус действия аттестата соответствия.

Кто является регулятором в области аттестации?

Регулятором в области аттестации АС является Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Сайт: fstec.ru
Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Телефон отдела защиты информации: 8 (499) 263-27-75

Требования по безопасности к автоматизированным системам размещены на официальном сайте ведомства: раздел главного меню «Техническая защита информации» -> «Документы» -> «Приказы» (большинство требований находятся в подразделе «Приказы»).

Ссылка: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/

  • Скачать коммерческое предложение на подготовку и аттестацию ЛВОСС
Скачать PDF
  • Скачать коммерческое предложение на подготовку и аттестацию ЛВОСС
Скачать PDF

Заказать звонок